Преступники используют тактику, подобную программам-вымогателям, и отравленные веб-сайты, чтобы заставить компьютеры ваших сотрудников майнить криптовалюту. Вот что вы можете сделать, чтобы остановить это.
Определение криптоджекинга
Криптоджекинг — это несанкционированное использование чужих вычислительных ресурсов для майнинга криптовалюты. Хакеры, вместо того, чтобы купить асик, стремятся захватить любые системы, которые они могут захватить — настольные компьютеры, серверы, облачную инфраструктуру и многое другое — для незаконного майнинга криптовалют.
Независимо от механизма доставки, код криптоджекинга обычно работает незаметно в фоновом режиме, поскольку ничего не подозревающие жертвы используют свои системы в обычном режиме. Единственные признаки, которые они могут заметить, — это снижение производительности, задержки в выполнении, перегрев, чрезмерное энергопотребление или аномально высокие счета за облачные вычисления.
Как работает криптоджекинг
Майнинг монет — это законный процесс в мире криптовалют, который выпускает в обращение новую криптовалюту. Этот процесс основан на вознаграждении валютой первому майнеру, который решит сложную вычислительную задачу. Эта проблема завершает блоки проверенных транзакций, которые добавляются в блокчейн криптовалюты.
«По сути, майнеры получают деньги за свою работу в качестве аудиторов. Они выполняют работу по проверке легитимности транзакций биткойнов», — подробно рассказала недавняя статья Investopedia о том, как работает майнинг биткойнов. «Помимо наполнения карманов майнеров и поддержки экосистемы Биткойн, майнинг служит еще одной важной цели: это единственный способ выпустить в обращение новую криптовалюту».
Заработок криптовалюты посредством майнинга монет обычно требует огромного количества вычислительной мощности и энергии. Кроме того, экосистема криптовалюты устроена таким образом, что майнинг усложняется, а вознаграждение за него со временем снижается, а конкуренция в майнинге возрастает. Это делает законный майнинг криптовалют чрезвычайно дорогостоящим делом, причем расходы постоянно растут.
Киберпреступники сокращают затраты на майнинг, просто крадя вычислительные и энергетические ресурсы. Они используют ряд методов взлома, чтобы получить доступ к системам, которые будут незаконно выполнять вычислительную работу, а затем заставить эти захваченные системы отправить результаты на сервер, контролируемый хакером.
Способы атаки криптоджекинга
Методы атаки ограничены только креативностью криптоджекеров, но ниже приведены некоторые из наиболее распространенных из них, используемых сегодня.
Атаки на конечные точки
В прошлом криптоджекинг представлял собой в первую очередь игру с вредоносным ПО для конечных точек, являвшуюся еще одной прибыльной целью для размещения вредоносного ПО на настольных компьютерах и ноутбуках. Традиционные вредоносные программы для криптоджекинга доставляются типичными путями, такими как бесфайловые вредоносные программы, схемы фишинга и встроенные вредоносные сценарии на веб-сайтах и в веб-приложениях.
Самый простой способ, с помощью которого злоумышленники, занимающиеся криптоджекингом, могут украсть ресурсы, — это отправить пользователям конечных точек законное электронное письмо, которое побуждает их щелкнуть ссылку, запускающую код, для размещения сценария криптомайнинга на их компьютере. Он работает в фоновом режиме и отправляет результаты обратно через инфраструктуру управления и контроля (C2).
Другой метод — внедрить скрипт на веб-сайт или в рекламу, которая будет показываться на нескольких веб-сайтах. Как только жертвы посещают веб-сайт или в их браузерах появляется зараженное объявление, скрипт автоматически запускается. На компьютерах жертв не хранится никакой код.
Эти способы по-прежнему вызывают законное беспокойство, хотя преступники добавили в свои схемы криптоджекинга значительно более сложные методы, стремясь увеличить прибыль, причем некоторые из этих развивающихся методов описаны ниже.
Сканирование уязвимых серверов и сетевых устройств
Злоумышленники стремятся повысить прибыльность криптоджекинга, расширяя свой кругозор на серверы, сетевые устройства и даже устройства IoT. Серверы, например, представляют собой особенно интересную цель, поскольку обычно они обычно более мощные, чем обычные настольные компьютеры. Они также станут основным местом охоты в 2022 году, поскольку злоумышленники сканируют серверы, доступные в общедоступном Интернете и содержащие уязвимости, такие как Log4J, эксплуатируют эту уязвимость и незаметно загружают программное обеспечение для майнинга криптовалют в систему, подключенную к серверам хакера. Часто злоумышленники используют изначально скомпрометированную систему для распространения своего криптоджекинга на другие сетевые устройства.
«Мы наблюдаем рост криптомайнинга, связанный с уязвимостью Log4J», — говорит Салли Винсент, старший инженер по исследованию угроз в LogRhythm. «Хакеры взламывают сети и устанавливают вредоносное ПО, которое использует хранилище для майнинга криптовалют».
Атаки на цепочку поставок программного обеспечения
Киберпреступники нацеливаются на цепочку поставок программного обеспечения, заполняя репозитории с открытым исходным кодом вредоносными пакетами и библиотеками, которые содержат встроенные в их код сценарии криптоджекинга. Поскольку разработчики загружают эти пакеты миллионами по всему миру, эти атаки могут быстро расширить инфраструктуру криптоджекинга для злоумышленников двумя способами. Вредоносные пакеты могут быть использованы для нападения на системы разработчиков, а также на сети и облачные ресурсы, к которым они подключаются, и использовать их непосредственно в качестве незаконных ресурсов для майнинга криптовалют. Или они могут использовать эти атаки, чтобы отравить программное обеспечение, которое создают эти разработчики, с помощью компонентов, которые выполняют сценарии криптомайнинга на компьютерах конечного пользователя приложения.
Использование облачной инфраструктуры
Многие предприятия, занимающиеся криптоджекингом, пользуются преимуществами масштабируемости облачных ресурсов, взламывая облачную инфраструктуру и подключаясь к еще более широкому набору вычислительных пулов для обеспечения своей майнинговой деятельности. Исследование , проведенное осенью прошлого года группой действий по кибербезопасности Google, показало, что 86% скомпрометированных облачных экземпляров используются для майнинга криптовалют.
«Сегодня злоумышленники любыми способами нацелены на облачные сервисы, чтобы добывать все больше и больше криптовалюты, поскольку облачные сервисы могут позволить им выполнять свои вычисления в большем масштабе, чем просто один локальный компьютер, независимо от того, захватывают ли они управляемую облачную среду пользователя. или даже злоупотреблять приложениями SaaS для выполнения своих вычислений», — написал в своем блоге Гай Арази, старший исследователь безопасности компании Palo Alto Networks .
Один из распространенных способов сделать это — сканировать открытые API-интерфейсы контейнеров или незащищенные сегменты облачного хранилища и использовать этот доступ для загрузки программного обеспечения для майнинга монет на затронутые экземпляры контейнеров или облачные серверы. Атака обычно автоматизируется с помощью сканирующего программного обеспечения, которое ищет серверы, доступные в общедоступном Интернете с открытыми API или возможным доступом без аутентификации. Злоумышленники обычно используют сценарии для перебрасывания полезных данных майнера в исходную систему и поиска способов распространения по подключенным облачным системам.
«Прибыльность и простота проведения криптоджекинга в больших масштабах делают этот тип атаки легким», — сказал Мэтт Мьюир, исследователь безопасности Cado Security, в своем блоге, объясняя , что облачные атаки особенно прибыльны. «Вероятно, это будет продолжаться до тех пор, пока пользователи продолжают предоставлять такие сервисы, как Docker и Redis, ненадежным сетям».
Почему криптоджекинг популярен
Согласно отчету ReasonLabs, в прошлом году 58,4% всех обнаруженных троянов были майнерами криптовалют. Между тем, другое исследование, проведенное SonicWall, показало, что 2021 год был худшим годом на сегодняшний день для атак криптоджекинга: в течение года в этой категории было зарегистрировано 97,1 миллиона атак. Эти цифры настолько убедительны, потому что криптоджекинг фактически означает добычу денег для киберпреступников.
Когда мошенник может добывать криптовалюту в, казалось бы, безграничном пуле бесплатных вычислительных ресурсов с компьютеров-жертв, потенциал для него огромен. Даже несмотря на резкое падение стоимости Биткойна этой весной, в результате которого он оказался ниже уровня в 30 000 долларов, незаконная прибыль криптоджекеров по-прежнему имеет бизнес-смысл, поскольку стоимость того, что они майнят, намного превышает затраты на их криминальную инфраструктуру.
Реальные примеры криптоджекинга
WatchDog нацелен на конечные точки API Docker Engine и серверы Redis
Приманка исследовательской группы по безопасности Cado Labs обнаружила многоэтапную криптоджекинг-атаку, которая нацелена на открытые конечные точки API Docker Engine и серверы Redis и может распространяться по принципу червя. Атака осуществлена атакующей группой WatchDog, которая проявляла особую активность в конце 2021 и 2022 годов, проводя многочисленные кампании по криптоджекингу.
Экземпляры Alibaba ECS под прицелом криптомайнинга
TeamTNT была одной из первых хакерских групп, которая сместила фокус криптоджекинга на облачные сервисы. В конце 2021 года исследователи TrendMicro сообщили , что эта группа вместе с такими конкурентами, как банда Kinsig, проводила кампании по криптоджекингу, в ходе которых майнеры устанавливались в экземпляры Alibaba Elastic Computing Service (ECS) и отключались функции безопасности, чтобы избежать обнаружения.
Боты-майнеры и бэкдоры используют Log4J для атак на серверы VMware Horizon
Уязвимость Log4Shell стала благом для злоумышленников, занимающихся криптоджекингом в 2022 году. В одном из ярких примеров исследователи Sophos обнаружили ранее в этом году, что «орда» злоумышленников нацелилась на серверы VMware Horizon, чтобы доставить ряд полезных данных для криподжекинга, включая z0Miner, JavaX. miner и как минимум два варианта XMRig, боты-майнеры криптовалюты Jin и Mimu.
Атаки на цепочку поставок через библиотеки npm
Осенью 2021 года эксперты по безопасности цепочки поставок программного обеспечения компании Sonatype забили тревогу по поводу вредоносных пакетов для майнинга криптовалют, скрывающихся в npm, репозитории пакетов JavaScript, используемом разработчиками по всему миру. На тот момент было обнаружено три пакета, по крайней мере один из которых выдавал себя за популярную легальную библиотеку, используемую разработчиками, под названием «ua-parser-js», которую загружают более 7 миллионов раз в неделю и которая была бы идеальным способом заманить пользователей. разработчики случайно загрузили вредоносный фрагмент кода и установили его в свое программное обеспечение.
Через несколько месяцев после этого отчета исследователи WhiteSource (теперь Mend) опубликовали дополнительный отчет , который показал, что npm кишит вредоносным кодом — целых 1300 вредоносных пакетов, которые включают в себя криптоджекинг и другие гнусные действия.
Румынские злоумышленники атакуют машины Linux с помощью вредоносного ПО для майнинга криптовалют
Прошлым летом Bitdefender обнаружил румынскую группу угроз, которая нацеливалась на машины на базе Linux с учетными данными SSH для развертывания вредоносного ПО для майнинга Monero. Используемые ими инструменты распространялись по модели «как услуга». Этот пример был на острие растущей тенденции атак с использованием криптомайнинга в системе Linux. Ранее в этом году в отчете VMware подробно описывалось растущее внимание к мультиоблачным средам на базе Linux, в частности с использованием программного обеспечения для майнинга XMRig.
«Многие образцы криптомайнинга из систем на базе Linux имеют некоторое отношение к приложению XMRig», — поясняется в отчете, который показал, что в 89% атак криптомайнинга использовались библиотеки, связанные с XMRig. «Поэтому, когда идентифицируются библиотеки и модули, специфичные для XMRig, в двоичных файлах Linux, это, вероятно, свидетельствует о потенциальном майнинге криптовалют.
CoinStomp использует сложную тактику уклонения от взлома.
CoinStop — это еще одна кампания по криптоджекингу, которая, как недавно выяснилось, нацелена на азиатских поставщиков облачных услуг (CSP). Этот отличился своими антикриминалистическими мерами и мерами по уклонению. К ним относятся временные метки для манипулирования системными временными метками, удаление системных криптографических политик и использование файла устройства he /dev/tcp для создания сеанса обратной оболочки, объяснил Мьюир из Cado в отчете об атаке .
На складе нашли криптовалютную ферму
Криптоджекеры иногда могут пойти на многое, чтобы украсть не только вычислительную мощность, но также энергию и сетевые ресурсы корпоративной инфраструктуры. В прошлом году аналитики Darktrace привели анонимный пример одного из своих клиентов, когда он обнаружил на складе ферму для майнинга криптовалют, замаскированную внутри скромного набора картонных коробок. Внутри находилась скрытная установка с несколькими графическими процессорами, подключенными к сети компании.
Как предотвратить криптоджекинг
Поскольку криптоджекинг превратился в многовекторную атаку, охватывающую конечные точки, серверы и облачные ресурсы, для предотвращения криптоджекинга требуется организованная и всесторонняя стратегия защиты. Следующие шаги могут помочь предотвратить масштабное распространение криптоджекинга на корпоративные ресурсы.
Используйте надежную защиту конечных точек. В основе этого лежит использование защиты конечных точек и антивирусного ПО, способного обнаруживать криптомайнеров, а также обновление веб-фильтров и управление расширением браузера для минимизации риска выполнения браузерных сценариев. В идеале организациям следует искать платформы защиты конечных точек, которые могут распространяться на серверы и за их пределы.
Исправьте и укрепите серверы (и все остальное). Криптоджекеры, как правило, ищут самые низкие результаты, которые они могут незаметно собрать, включая сканирование общедоступных серверов, содержащих старые уязвимости. Базовое усиление защиты сервера, включающее установку исправлений, отключение неиспользуемых служб и ограничение внешнего воздействия, может существенно способствовать минимизации риска атак на сервер.
Используйте анализ состава программного обеспечения. Инструменты анализа состава программного обеспечения (SCA) обеспечивают лучшую видимость того, какие компоненты используются в программном обеспечении, чтобы предотвратить атаки на цепочку поставок, использующие сценарии добычи монет.
Выявляйте неправильные конфигурации облака. Один из наиболее эффективных способов остановить криптоджекинг в облаке — это ужесточение конфигурации облака и контейнера. Это означает поиск облачных сервисов, доступных в общедоступном Интернете без надлежащей аутентификации, искоренение открытых API-серверов, а также удаление учетных данных и других секретов, хранящихся в средах разработки и жестко запрограммированных в приложениях.
Как обнаружить криптоджекинг
Криптоджекинг — это классическая медленная и медленная кибератака, предназначенная для того, чтобы оставить после себя минимальные следы и избежать долгосрочного обнаружения. Хотя платформы защиты конечных точек и технологии обнаружения и реагирования на конечные точки прошли долгий путь в предупреждении об атаках криптоджекинга, злоумышленники являются мастерами уклонения на этом фронте, и обнаружение незаконных майнеров монет все еще может оказаться трудной задачей, особенно когда взломаны лишь несколько систем. Ниже приведены некоторые дополнительные методы обнаружения признаков криптоджекинга.
Научите свою службу поддержки искать признаки криптомайнинга. Иногда первым признаком на конечных точках пользователей является всплеск жалоб в службу поддержки на низкую производительность компьютеров. Это должно стать тревожным сигналом для дальнейшего расследования, равно как и перегрев устройств или плохая работа батареи в мобильных устройствах.
Разверните решение для мониторинга сети. Инструменты сетевого мониторинга могут стать мощным инструментом для определения типов веб-трафика и исходящего трафика C2, который указывает на активность криптоджекинга, независимо от того, с какого устройства он исходит.
«Если у вас есть хорошая фильтрация исходящего трафика на сервере, где вы отслеживаете инициирование исходящего соединения, это может быть хорошим средством обнаружения [шифровального вредоносного ПО]», — говорит Трэвис Фаррал, вице-президент и директор по информационной безопасности компании Archaea Energy. Однако он предупреждает, что авторы криптомайнеров могут писать свои вредоносные программы, чтобы избежать этого метода обнаружения.
Используйте облачный мониторинг и безопасность выполнения контейнера. Развивающиеся инструменты, такие как облачный мониторинг и сканирование безопасности во время выполнения контейнера, могут обеспечить дополнительную видимость облачных сред, на которые могут повлиять несанкционированные криптомайнеры. Поставщики облачных услуг внедряют такую прозрачность в свои услуги, иногда в качестве дополнений. Например, в начале этого года Google Cloud расширила свой Центр управления безопасностью, включив в него то, что он называет обнаружением угроз виртуальных машин (VMTD), чтобы обнаруживать признаки криптомайнинга в облаке, среди других облачных угроз.
Участвуйте в регулярном поиске угроз. Поскольку многие атаки криптоджекинга являются скрытными и оставляют мало следов, организациям, возможно, придется принимать более активные меры, такие как поиск угроз, чтобы регулярно выявлять тонкие признаки компрометации и проводить расследования.
«Командам по обеспечению безопасности конечных точек и SOC следует уделять время активным упражнениям и поиску угроз, а не ждать, пока произойдет что-то потенциально катастрофическое», — говорит Винсент из LogRhythm.
Контролируйте свои сайты на наличие кода для майнинга криптовалют . Фаррал предупреждает, что криптоджекеры находят способы разместить фрагменты кода Javascript на веб-серверах. «Сам по себе сервер не является целью, но любой, кто посещает сам веб-сайт [рискует заразиться]», — говорит он. Он рекомендует регулярно отслеживать изменения файлов на веб-сервере или изменения самих страниц.
Как реагировать на атаку криптоджекинга
После обнаружения незаконной деятельности по добыче криптовалюты реагирование на атаку криптоджекинга должно следовать стандартным шагам реагирования на киберинциденты, которые включают сдерживание, искоренение, восстановление и извлеченные уроки. Некоторые советы о том, как реагировать на атаку криптоджекинга, включают:
Уничтожьте сценарии, доставляемые через Интернет. Для атак на JavaScript в браузере решение простое, как только обнаружен криптомайнинг: закройте вкладку браузера, на которой запущен скрипт. ИТ-специалистам следует запомнить URL-адрес веб-сайта, являющегося источником сценария, и обновить веб-фильтры компании, чтобы заблокировать его.
Завершите работу скомпрометированных экземпляров контейнера. Неизменяемую облачную инфраструктуру, такую как экземпляры контейнеров, скомпрометированные майнерами монет, также можно легко устранить, отключив зараженные экземпляры контейнеров и начав заново. Однако организации должны в первую очередь разобраться в первопричинах, которые привели к компрометации контейнера. Это означает поиск признаков того, что панель мониторинга и учетные данные контейнера были скомпрометированы, а также проверку подключенных облачных ресурсов на наличие признаков компрометации. Ключевым шагом является обеспечение того, чтобы новый образ контейнера, заменяющий старый, не был настроен аналогичным образом.
Уменьшите разрешения и заново создайте ключи API. Искоренение и полное восстановление после облачного криптоджекинга потребует от организаций сокращения разрешений для затронутых облачных ресурсов (и подключенных к ним) и повторного создания ключей API, чтобы злоумышленники не могли вернуться обратно в ту же облачную среду.
Учитесь и адаптируйтесь. Используйте этот опыт, чтобы лучше понять, как злоумышленнику удалось скомпрометировать ваши системы. Обновите обучение пользователей, службы поддержки, ИТ-специалистов и аналитиков SOC, чтобы они могли лучше выявлять попытки криптоджекинга и реагировать соответствующим образом.